标签:route 工作 业务 tcp 反射 work port 需要 网络安全
某公司网络如实验拓扑所示,R4、R5、R6、R7为公司总部路由器,R1与R3分别为公司两个不同分支机构路由器,R2为运营商的网络设备,在R1与R3上分别设有不同的业务网段,其中192.168.10.0/24与172.16.10.0/24为业务A所用网段,192.168.20.0/24与172.16.20.0/24为业务B所用网段。两个不同分支机构与总部间都设有专线,使得两分支机构上的业务网段既可以通过运营商的设备实现访问,也可以通过专线,经由总部设备实现访问。请根据如下需求对网络进行部署:
1. 按照拓扑搭建网络,在所有AS间使用直连接口建立EBGP邻居关系
R1多加两个环回口
interface LoopBack2
ip address 192.168.10.1 255.255.255.0
#
interface LoopBack3
ip address 192.168.20.1 255.255.255.0
R3多加两个环回口
interface LoopBack1
ip address 172.16.10.3 255.255.255.0
#
interface LoopBack2
ip address 172.16.20.3 255.255.255.0
R1<=>R2 /R1<=>R4/R2<=>R3/R3<=>R6(都做)
以R1<=>R2为例:
R1:
#bgp 100
#peer 10.0.12.2 as-number 200
R2:
#bgp 200
#peer 10.0.12.1 as-number 100
2. 在公司总部AS400中,R4与R5,R5与R7,R7与R6,R6与R4间使
用环回接口建立IBGP邻居关系,IGP协议使用OSPF
注意使用环回接口建立邻居时需要额外配置命令。
R4<=>R5/R5<=>R7/R7<=>R6/R6<=>R4(都做)
以R4<=>R5为例:
R4:
ospf 1 router-id 10.0.4.4
area 0
net 10.0.4.4 0.0.0.0
net 10.0.45.4 0.0.0.0
net 10.0.46.4 0.0.0.0
bgp 400
peer 10.0.5.5 as-number 400
peer 10.0.5.5 connect-interface loopback 0
peer 10.0.6.6 as-number 400
peer 10.0.6.6 connect-interface loopback 0
peer 10.0.14.1 as-number 100
R5:
ospf 1 router-id 10.0.5.5
area 0.0.0.0
network 10.0.5.5 0.0.0.0
network 10.0.45.5 0.0.0.0
network 10.0.57.5 0.0.0.0
bgp 400
peer 10.0.4.4 as-number 400
peer 10.0.4.4 connect-interface LoopBack0
peer 10.0.7.7 as-number 400
peer 10.0.7.7 connect-interface LoopBack0
3. 所有业务网段,与所有设备上的Loopback 0所在网段都能通过BGP路由实现互相访问
R1与R4/R3与R6Z之间分别配置静态路由使EBGP与Ibgp互通
以R1与R4为例
R1:
ip route-static 10.0.4.4 255.255.255.255 10.0.14.4
R4:
ip route-static 10.0.1.1 255.255.255.255 10.0.14.1
只宣告自己的环回口网段:
R1:(R2/R3/)
bgp 100
network 10.0.1.1 255.255.255.255
network 192.168.10.0
network 192.168.20.0
ospf注入bgp中
R4:
bgp 400
import-route ospf 1
R6:
bgp 400
import-route ospf 1
修改R4/R5/R6/R7上的下一跳地址
R4:
bgp 400
peer 10.0.5.5 next-hop-local
peer 10.0.6.6 next-hop-local
R5:
bgp 400
peer 10.0.4.4 next-hop-local
peer 10.0.7.7 next-hop-local
4. 为了使网络资源能充分得到利用,要求业务网段A的流量通过运营商设备转发,业务网段B的流量通过专线转发
理解BGP AS-path属性原理,做适当修改。
MED用于BGP在连接到外部AS时控制流量进来的方向,默认只在同一AS内比较,但是可以通过命令来修改来实现在不同AS间比较MED值。其中MED越小越优先,BGP可以对邻居发送或接受的路由做适当修改。
理解BGP MED属性原理,熟练掌握相关配置方法,并作适当修改。
R2:
acl number 2002
rule 5 permit source 172.16.20.0 0.0.0.255
route-policy as permit node 5
if-match acl 2002
apply as-path 300 additive (修改as-path)
route-policy as permit node 20
bgp 200
peer 10.0.12.1 route-policy as export
acl number 2004
rule 5 permit source 192.168.20.0 0.0.0.255
route-policy med permit node 10
if-match acl 2004
apply cost 300 (修改med值)
bgp 200
peer 10.0.23.3 route-policy med export
注:
在R2做,修改MED值。
在R3写入强制引入才可生效:(此ACL抑制192.168.20.0所以在R3强制若抑制172.16.20.0则在R1写)
[R3]compare-different-as-med
R3上修改med值
R1上查看as-path
追踪:
5. 网络管理员进行定期线路检查,现通过适当调整IGP的链路开销值,使得所有经过总部AS的流量都沿着R4-R5-R7-R6路径转发
基于IBGP的水平分割原则,R5将无法学习到172.16.20.0这个业务网段,R7将无法学习到192.168.20.0这个业务网段,此时可以选择将BGP路由引入到OSPF,通过IGP协议让R5和R7学习业务网段。
OSPF在引入BGP做为外部路由时,其它OSPF路由器默认选择距离ASBR最近的链路,此时可以通过修改接口Cost来修改路径,默认接口Cost为1。
注意:注入时,不要把bgp注入到ospf中,在第6步有影响
让192.168.20.0/24和172.16.20.0/24沿着R4-R5-R7-R6路径转发
原本都是走R4 R6
修改R4和R6的cost值,不用acl列表,进端口配置就可以
在R4:
interface GigabitEthernet0/0/1
ospf cost 100
在R6:
interface GigabitEthernet0/0/1
ospf cost 100
在R1:
6. 网络管理员在检查中发现业务网段B的流量非常大,决定将业务网段B的流量单独沿着R4-R6路径转发(要求BGP路由选路与实际转发路径一致)
BGP由于IBGP的水平分割,所以IBGP邻居无法正常传递路由,这里可以使用全互联或者路由反射器等技术来实现,常用的为路由反射器。
由于BGP的默认路由优先级为255,而OSPF为150,此时必须强制降低BGP的路由优先级以便选路。
深入理解BGP选路规则与路由反射器的特性,分析路由表现象,结合路由策略进行配置.
反射器:
R5:
bgp 400
reflector cluster-id 1
peer 10.0.4.4 reflect-client
peer 10.0.7.7 reflect-client
R7:
bgp 400
reflector cluster-id 2
peer 10.0.5.5 reflect-client
peer 10.0.6.6 reflect-client
方法一:
R4:
acl number 2000
rule 5 permit source 192.168.20.0 0.0.0.255
route-policy local permit node 10
if-match acl 2000
apply ip-address next-hop 10.0.46.4
#
route-policy local permit node 20
bgp 400
peer 10.0.6.6 route-policy local export
R6:
acl number 2000
rule 5 permit source 172.16.20.0 0.0.0.255
route-policy local permit node 10
if-match acl 2000
apply ip-address next-hop 10.0.46.6
route-policy local permit node 20
bgp 400
peer 10.0.4.4 route-policy local export
方法二(此方法可能不太可行):
R4和R6都做
bgp 400
preference 100 100 100
7. 公司总部网络将进行改造,在不改变原有配置的基础上,通过增加少量配置实现,R5与R7不参与BGP路径选择
BGP在需要短暂中断邻居会话且该邻居配置量较大时,通过执行命令peer ignore可以避免重新配置的工作量。例如,在一段时间内,对端升级或调整链路导致邻居频繁建立连接时,为了避免路由或邻居关系频繁震荡,需要暂时中断BGP邻居,则可以在较稳定的一端使用该命令。
BGP是基于TCP的三次握手机制建立邻居的路由协议,在建立过程中会由一方主动发起TCP连接,如果双方都不主动发起请求,则TCP建立失败,邻居无法建立。
使用peer listen-only命令配置对等体的连接方式为对等体仅检测连接请求,而不主动发送连接请求,必须两端同时开启才生效。
R4:(R6)
bgp 400
peer 10.0.5.5(10.0.7.7) ignore
8. 通过配置团体属性使得AS 200中不接收192.168.20.0/24该业务网段的路由
这里可以通过设置BGP的公认属性来限制路由的传递,包括Internet、No-advertise、No-export、No-export-subconfed等。
9. 假设172.16.10.0/24该业务网段状态不稳定,时而出现网络中断现象,通过适当配置以减小其对整网的影响
BGP的Dampening 属性可以用来设置减少路由的震荡。
分析需求,增加合理配置,可通过实际测试来验证配置效果。
R3:
bgp 300
dampening route-policy damp
10. 为了提高BGP网络安全性,在EBGP邻居间配置认证
在两个EBGP邻居间分别配置认证,密钥可采用huawei。
注:
simple是明文认证
cipher是MD5认证
RI<=>R2/RI<=>R4/R2<=>R3/R3<=>R6
以RI<=>R2为例(md5认证)
R1:
bgp 100
peer 10.0.12.2 password cipher huawei
peer 10.0.14.4 password cipher huawei
R2:
bgp 200
peer 10.0.12.1 password cipher huawei
peer 10.0.23.3 password cipher huawei
11. 修改R2上BGP的存活时间为30s,同时适当调整保持时间
理解BGP计时器的工作原理,掌握修改方法。
BGP的保持激活时间Keepalive默认是60s一次,而保持时间Holdtime则是3倍的激活时间。
R2:
bgp 200
timer keepalive 30 hold 90
标签:route 工作 业务 tcp 反射 work port 需要 网络安全
原文地址:https://www.cnblogs.com/TiAmoLJ/p/11368114.html
